Качество, безопасность, конфиденциальность и соответствие требованиям | EcoVadis Skip to content

Качество, безопасность, конфиденциальность и соответствие нормативным требованиям

Main content

Цель EcoVadis — «направлять все компании к достижению устойчивого мира», а также реализовать четыре основные задачи EcoVadis:

  1. Предоставлять независимые, надежные и практичные рейтинги и аналитические материалы по устойчивому развитию благодаря совершенной методологии.
  2. Дать возможность наибольшему числу компаний постоянно совершенствовать свои деловые практики и вносить вклад в создание регенеративной и справедливой экономики.
  3. Создавать инклюзивную среду обучения для наших сотрудников, обеспечивая значимую работу и расширяя возможности будущих поколений специалистов по устойчивому развитию.
  4. Способствовать коллективным действиям в рамках нашей экосистемы для ускорения перехода к устойчивому миру.

Компания EcoVadis разработала систему менеджмента качества (СМК), которая сертифицирована по стандарту ISO 9001. Мы активно стремимся к постоянному улучшению качества через систему управления процессами, которая позволяет каждому сотруднику эффективно работать в безопасной и стимулирующей рабочей среде. В основе этой системы лежит наша самостоятельно разработанная ИТ-платформа, на которой выполняются все рабочие процессы. Для совершенствования процессов мы регулярно прибегаем к помощи специализированных органов и отделов, таких как наш комитет по методологии.

  • Программы обучения
    сотрудников
    • В рамках введения в должность все новые сотрудники осваивают программы обучения по обеспечению качества данных и информационной безопасности. В программах предусмотрены контрольные вопросы и проходные баллы. Все сотрудники также проходят обязательное ежегодное повышение квалификации с последующими контрольными опросами.
  • Корректирующие и предупреждающие действия
    • Мы постоянно совершенствуем процессы, определяем области для улучшения, чтобы устранить несоответствия или предотвратить их повторное возникновение. Одним из примеров является использование инструмента «Качество» для выявления несоответствий и обеспечения обратной связи в процессе оценки.
  • Процесс управления инцидентами
    • С помощью платформы управления инцидентами мы регистрируем и обрабатываем жалобы клиентов и поставщиков, а также внутренние проблемы. Все инциденты регулярно рассматриваются заинтересованными сторонами и решаются в установленные сроки.
  • Внутренний аудит
    • Программа внутреннего аудита рассчитана на 3 года, при этом аудит информационной безопасности проводится дважды в год, а все внутренние процессы проходят аудит качества не реже одного раза в год. Результаты аудита рассматриваются и обсуждаются во время Обзора руководства, который проводится каждые полгода.

EcoVadis предоставляет услуги по составлению комплексных рейтингов устойчивого развития компаний, обеспечиваемые с помощью глобальной облачной SaaS-платформы, размещенной в Microsoft Azure — одном из самых надежных поставщиков услуг облачного хостинга.

Мы стремимся обеспечить максимальный уровень информационной безопасности и постоянно совершенствоваться для защиты данных всех заинтересованных сторон в условиях меняющегося ландшафта угроз информационной безопасности. По этой причине EcoVadis создала ISMS (Information Security management system [Система управления информационной безопасностью], которая регулярно проходит независимые аудиты, выполняемые третьей стороной, на соответствие стандарту ISO/IEC 27001 (см. сертификат и заявление о применимости).

Наша система ISMS позволяет нам систематически поддерживать информационную безопасность в наших бизнес-процессах и услугах, а также определять и применять необходимые меры безопасности на основе оценки рисков.

Наши политики информационной безопасности регулярно пересматриваются и обновляются, чтобы подтвердить, что их содержание остается своевременным и точным, и по-прежнему соотносится с требованиями к соответствию лучшим отраслевым практикам, применимым к нам.

Мы располагаем специальной внутренней командой, отвечающей за разработку, поддержание и мониторинг информационной безопасности. Приоритеты в рамках нашей организации установлены по всему миру, чтобы обеспечить единое, согласованное видение защиты наших активов.

В EcoVadis мы понимаем, что повышение осведомленности об угрозах информационной безопасности — это постоянный процесс. Наши сотрудники регулярно проходят обучение передовым методам в области ИТ и информационной безопасности в соответствии со стандартами ИТ-безопасности EcoVadis, а также методикам безопасной эксплуатации ИТ-систем.

Мы поддерживаем точную и актуальную инвентаризацию активов, связанных с предоставляемыми услугами, и классифицируем информацию с точки зрения юридических требований, ценности, критичности и чувствительности к несанкционированному раскрытию или изменению.

Azure представляет собой многопользовательскую службу, в которой существует логическое разделение, которое изолирует данные между заказчиками.

Права доступа и привилегии для информационных систем и сетевых доменов EcoVadis должны распределяться на основе конкретных требований должностной функции пользователя (RBAC), при этом мы следуем принципам доступа к информации по принципу служебной необходимости («положено знать») и минимума полномочий («наименьших привилегий»).

Наши клиенты управляют доступом самостоятельно: администратор клиентской платформы может создавать и деактивировать пользователей по мере необходимости. Доступ к платформе можно получить, используя имя пользователя и пароль. Мы также предоставляем возможность аутентификации через систему единого входа (SSO) для запрашивающих компаний, и вы можете связаться со своим обычным контактным лицом в отделе продаж для получения дополнительной информации.

Данные шифруются (в неактивном состоянии и при передаче) с использованием одобренных в отрасли алгоритмов и методов шифрования. Мы следуем лучшим отраслевым практикам для безопасного хранения и управления учетными цифровыми идентификационными данными в нашей среде.

 

Наши платформы размещаются в центрах обработки данных Microsoft Azure, расположенных в ЕС. В соответствии с моделью совместной ответственности в облаке, обеспечение средств контроля физической безопасности входит в обязанности корпорации Майкрософт. Дополнительную информацию о средствах контроля можно найти здесь.

Мы следим за тем, чтобы изменения в организации, бизнес-процессах, средствах обработки информации и системах, влияющие на информационную безопасность, находились под контролем. Мы внедрили технологии и процессы мониторинга и обнаружения для выявления, предотвращения уязвимостей перед вредоносными программами или других событий, связанных с безопасностью, в нашей инфраструктуре и управления ими. Используются передовые методы повышения безопасности, такие как CIS (Center for Internet Security [Центр интернет-безопасности]) для операционных систем и руководства Microsoft Azure по усилению безопасности для облачных служб.

Сетевой доступ к внутренним службам и серверам ограничен и защищен. У нас имеется межсетевой экран веб-приложения (Web Application Firewall) (подробности см. здесь), и мы используем Azure Front Door — современный облачный сервис на основе сети доставки контента (CDN), который обеспечивает высокую производительность, масштабируемость и безопасный пользовательский интерфейс.

Мы используем отраслевые стандарты для обеспечения безопасности наших систем и жизненного цикла разработки программного обеспечения (SDLC). Гарантируется, что новые разработки проходят надлежащие процессы тестирования и проверки перед запуском в эксплуатацию. Среды разработки, тестирования и эксплуатации разделены.

Мы установили требования по информационной безопасности для поставщиков, которые могут получать доступ, обрабатывать, хранить, передавать или предоставлять компоненты ИТ-инфраструктуры для информации организации. Мы также проводим оценки рисков кибербезопасности и безопасности данных поставщиков, имеющих доступ к нашей сети, данным или другой конфиденциальной информации.

Мы постоянно работаем над обеспечением высокой безопасности услуг для наших клиентов, однако инциденты — это неизбежная реальность, которой необходимо тщательно управлять. В EcoVadis применяются соответствующие меры для обеспечения последовательного и эффективного подхода к управлению инцидентами информационной безопасности. Наш процесс управления инцидентами безопасности включает, в частности: уведомление клиентов, ведение письменных процедур, которым необходимо следовать в случае инцидента безопасности, и использование всех разумных усилий для смягчения последствий инцидента.

Мы стремимся к тому, чтобы средства обработки информации были реализованы с резервированием, достаточным для удовлетворения требований доступности (см. отчет о времени безотказной работы нашей платформы, в котором постоянно отслеживаются производительность и доступность служб, а также реальный опыт пользователей).

Резервное копирование выполняется и тестируется регулярно в соответствии с установленной политикой резервного копирования.

Чтобы получить более полное представление о соблюдении требований информационной безопасности, мы проводим несколько видов аудита и технических проверок:

– Проверки инфраструктуры

– Проверки кода (SAST: Static Application Security Testing (Статическое тестирование безопасности приложений), SCA: Software Composition Analysis (Анализ композиции программного обеспечения))

– Тестирование веб-приложений на защиту от несанкционированного доступа (проводится не реже одного раза в год внешней компанией)

– Внешнее управление средствами безопасности

– Внутренние оценки рисков

– Аудиты в рамках сертификации ISO 27001

 

Мы заполнили несколько стандартных анкет. Доступ к результату может быть предоставлен по требованию

  • Cybervadis
  • CyberGRX
  • SecurityScorecard:

  • Whistic

Сертификаты Microsoft Azure доступны на портале Service Trust.

Библиотеки с открытым исходным кодом или компоненты, связанные с любой из применимых услуг. Решение EcoVadis иногда включает или зависит от библиотек с открытым исходным кодом. В соответствии с лицензионными требованиями библиотек с открытым исходным кодом и моральным правом лицензиата на авторство, ниже приведен список программного обеспечения с открытым исходным кодом, используемого для создания наших продуктов. Следует иметь в виду, что вся информация здесь предоставляется по принципу «как есть» и может быть изменена лицензиатом:

 

Имя компонента/проекта Лицензия
ActiveUp.Net LGPL 2.1 *
AjaxControlToolkit BSD 3
Bootstrap MIT
ClosedXML MIT
DocumentFormat.OpenXml MIT
Editor_plugin LGPL 2.0 *
EPPlus LGPL 2.1 *
Highcharts CC BY NC 3.0
ICSharpCode MIT
Ionic Zlib
jQuery.dataTables MIT
jQuery.easing MIT
jQuery.easy MIT
jQuery.form MIT
jQuery.linq MIT
jQuery.multiselect MIT
jQuery.perfect-scrollbar-with-mousewheel MIT
jQuery.scrollTo MIT
jQuery.slim MIT
jQuery.tipTip MIT
jQuery.validate.unobtrusive Apache 2.0
jQuery.validate MIT
jQuery MIT
Knockout MIT
LINQ Microsoft Public
Modernizr MIT
Newtonsoft MIT
PayPal .NET SDK SDK LICENSE
Ninject Apache 2.0
NLog BSD 3
NPOI Apache 2.0
Prototype MIT
wkhtmltoimage LGPL 3.0 *
wkhtmltopdf LGPL 3.0 *
wkhtmltox LGPL 3.0 *

* Приложение динамически связано с лицензией LGPL, следовательно, собственный код может оставаться закрытым.

Компания EcoVadis считает, что GDPR является важным шагом для усиления и гармонизации защиты персональных данных граждан ЕС. Как контроллер данных компания Ecovadis обязуется соблюдать правила и внедрять лучшие практики.

Ecovadis использует стандарт ISO 27001, по которому мы сертифицированы, в качестве основы и интегрирует аспекты защиты персональных данных в свою систему управления. Мы используем дополнительный стандарт ISO 27701 для выполнения требований GDPR. Наша практика защиты данных и соответствие требованиям подтверждается сторонним аудитом.

Для обработки данных, осуществляемой за пределами ЕС, мы заключили стандартные договорные положения (СДП) с нашими дочерними компаниями.

Мы всегда тщательно выбираем наших поставщиков (процессоров). Для работы с нами поставщики должны заключить соглашение о защите данных, а также о соблюдении стандартных договорных положений (СДП) или обязательных корпоративных правил (BCR) в случае обработки данных за пределами ЕЭЗ. Мы стремимся выбирать подписки поставщиков таким образом, чтобы данные размещались на серверах, расположенных в Европе. Для предоставления наших услуг мы используем следующих процессоров:

 

Юридическое лицо Адрес Цель Обработка и передача данных Дополнительная информация о безопасности
ZenDesk 1019 Market Street,
San Francisco, CA 94103 USA
Справочный центр https://www.zendesk.com/… https://www.zendesk.com/…
SFDC SAS SFDC France
3 Avenue Octave Gréard 75007 Paris
Франция
CRM и поддержка заказчиков https://www.salesforce.com/… https://trust.salesforce.com/
Microsoft France SAS Microsoft France SAS

37 Quai du Président Roosevelt, 92130 Issy-les-Moulineaux,

ФРАНЦИЯ

Хостинг платформы оценки устойчивого развития https://www.microsoft.com/… https://azure.microsoft.com/…/
Google Cloud France Google Cloud France

8 Rue de Londres, 75009 Paris,

Франция

Общение с клиентами https://cloud.google.com/… https://cloud.google.com/…/
Selligent France SA 20 Place des Vins de France,75012 Paris, Франция Общение с клиентами https://www.selligent.com/… https://www.selligent.com/…
Docebo S.p.A. Limited Limited
6th floor, 48
Gracechurch
Street, London –
UK
Платформа электронного обучения https://www.docebo.com/… https://www.docebo.com/…
Pendo.io Inc. 150 Fayetteville St
#140027601
Raleigh NC, USA
Аналитика платформы и опрос заказчиков https://www.pendo.io/… https://www.pendo.io/…
Productboard Inc. 612 Howard
streetCA 94105
San Francisco CA,
USA
Управление продуктами и опрос заказчиков https://www.productboard.com/… https://www.productboard.com/…
Surveymonkey Inc 910 Park Pl, Suite 300, San Mateo, CA 94403, USA Опрос заказчиков https://www.surveymonkey.com/… https://www.surveymonkey.com/…
Aircall SAS 11 Rue Saint
Georges, 75009
Paris, FRANCE
Запись вызовов https://aircall.io/… https://aircall.io/…

 

Мы полагаемся на рекомендации, выпущенные французским органом по защите данных CNIL и Европейским советом по защите данных относительно дополнительных мер, которые могут потребоваться для возможной передачи данных в США на основе стандартных условий договора (Standard Contractual Clauses, SCC) или обязательных корпоративных правил (Binding Corporate Rules, BCR).

Узнайте больше в нашем заявлении о конфиденциальности данных.

EcoVadis обязуется соблюдать все действующие законы и правила, применимые к оператору онлайн-услуг общего назначения, включая, без ограничения, законы Франции и США, в отношении своих собственных местонахождений предоставления услуг.

Ограничения по месту назначения

Принимая во внимание общие деловые риски, продукты и услуги Ecovadis недоступны для экспорта, повторного экспорта, передачи и/или использования в следующих странах/регионах (могут быть изменены без уведомления):

  • регионы Крым, Донецк и Луганск
  • Куба
  • Иран
  • Северная Корея
  • Сирия

Кроме того, к транзакциям с определенными местами назначения, представляющими повышенный риск экспортного контроля или санкций, или связанными с ними, предъявляются повышенные требования комплексной юридической оценки.

Ограничения для конечных пользователей

Продукты и услуги EcoVadis недоступны юридическим и физическим лицам, операции с которыми запрещены в соответствии с действующими законами об экспортном контроле и санкциях, включая лиц, перечисленных в любых применимых списках сторон, находящихся под санкциями (например, санкционный список Европейского союза, списки лиц особой категории США, OFAC, санкции Совета Безопасности ООН, списки, составляемые странами, в которых компания EcoVadis ведет деятельность).

Ограничения конечного использования

Услуги EcoVadis не должны использоваться в целях, запрещенных применимым экспортным законодательством, включая, помимо прочих, разработку, проектирование, производство или изготовление ядерного, химического или биологического оружия массового поражения.

Данная веб-страница предназначена только для общих информационных целей и не заменяет юридическую консультацию.

Вопросы? Свяжитесь с нами!

Если у вас есть какие-либо вопросы, связанные с информационной безопасностью в EcoVadis, вы можете задать их своему коммерческому представителю или посетить наш Справочный центр: support.ecovadis.com.

Компания EcoVadis приобрела компанию Ulula с целью повысить прозрачность цепочек поставок и снизить риски с точки зрения проблематики прав человека по всему миру
Посмотреть